A hibrid Azure AD-csatlakozás konfigurálása

Az eszközök Azure AD az egyszeri bejelentkezés (SSO) révén maximalizálja a felhasználók hatékonyságát a felhőben és a helyszíni erőforrásokban. A feltételes hozzáféréssel egyidejűleg biztonságossá teheti az erőforrásokhoz való hozzáférést.

Előfeltételek

  • Azure AD Connect 1.1.819.0-s vagy újabb verziója.
    • Ne zárja ki az alapértelmezett eszközattribútumokat a Azure AD Connect szinkronizálási konfigurációjából. A Azure AD szinkronizált alapértelmezett eszközattribútumokról a Azure AD Connect által szinkronizált attribútumok című témakörben olvashat bővebben.
    • Ha a hibrid Azure AD csatlakoztatni kívánt eszközök számítógép-objektumai adott szervezeti egységekhez (OU-khoz) tartoznak, konfigurálja a megfelelő szervezeti egységeket a szinkronizáláshoz Azure AD Connectben. A számítógép-objektumok Azure AD Connect használatával történő szinkronizálásával kapcsolatos további információkért lásd a szervezeti egységen alapuló szűrést.
  • A Azure AD bérlő globális rendszergazdai hitelesítő adatai.
  • Vállalati rendszergazdai hitelesítő adatok az egyes helyi Active Directory Domain Services-erdőkhöz.
  • (Összevont tartományok esetén) Legalább Windows Server 2012 R2 Active Directory összevonási szolgáltatások (AD FS) telepítve.
  • A felhasználók regisztrálhatják eszközeiket a Azure AD. Erről a beállításról további információt az Eszközbeállítások konfigurálása című cikk Eszközbeállítások konfigurálása című szakaszában talál.

Hálózati kapcsolatra vonatkozó követelmények

A hibrid Azure AD-csatlakozáshoz szükséges, hogy az eszközök hozzáférjenek a következő Microsoft-erőforrásokhoz a szervezeti hálózaton:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Ha közvetlen egyszeri bejelentkezést használ vagy tervez használni)
  • A szervezet biztonságijogkivonat-szolgáltatása (STS) (összevont tartományokhoz)

Figyelmeztetés

Ha a szervezet proxykiszolgálókat használ, amelyek elfogják az SSL-forgalmat olyan forgatókönyvek esetén, mint az adatveszteség-megelőzés vagy Azure AD bérlőkorlátozások, győződjön meg arról, hogy az ezen URL-címek felé irányuló forgalom ki van zárva a TLS-megszakításból és -vizsgálatból. Az URL-címek kizárásának elmulasztása interferenciát okozhat az ügyféltanúsítvány-hitelesítésben, problémákat okozhat az eszközregisztrációval és az eszközalapú feltételes hozzáféréssel kapcsolatban.

Ha a szervezetnek kimenő proxyn keresztül kell hozzáférnie az internethez, a webproxy automatikus felderítésével (WPAD) engedélyezheti Windows 10 vagy újabb számítógépeket az eszközregisztrációhoz Azure AD. A WPAD konfigurálásával és kezelésével kapcsolatos problémák megoldásához tekintse meg az automatikus észlelés hibaelhárításával foglalkozó témakört.

Ha nem használja a WPAD-et, konfigurálhatja a WinHTTP proxybeállításokat a számítógépen egy Csoportházirend Objektummal (GPO) az 1709-Windows 10 kezdve. További információ: A csoportházirend-objektum által üzembe helyezett WinHTTP proxybeállítások.

Megjegyzés

Ha a winHTTP-beállítások használatával konfigurálja a proxybeállításokat a számítógépen, az összes olyan számítógép, amely nem tud csatlakozni a konfigurált proxyhoz, nem fog tudni csatlakozni az internethez.

Ha a szervezetnek hitelesített kimenő proxyn keresztül kell hozzáférnie az internethez, győződjön meg arról, hogy a Windows 10 vagy újabb számítógépek sikeresen hitelesíthetik magukat a kimenő proxyn. Mivel Windows 10 vagy újabb számítógépek gépi környezetben futtatják az eszközregisztrációt, a kimenő proxyhitelesítést gépi környezet használatával konfigurálja. A konfiguráció követelményeivel kapcsolatban forduljon a kimenő proxy szolgáltatójához.

Ellenőrizze, hogy az eszközök hozzáférnek-e a rendszerfiókhoz szükséges Microsoft-erőforrásokhoz az Eszközregisztrációs kapcsolat tesztelése szkripttel.

Felügyelt tartományok

Úgy gondoljuk, hogy a legtöbb szervezet hibrid Azure AD csatlakozik a felügyelt tartományokhoz. A felügyelt tartományok jelszókivonat-szinkronizálást (PHS) vagy átmenő hitelesítést (PTA)használnak zökkenőmentes egyszeri bejelentkezéssel. A felügyelt tartományok esetében nincs szükség összevonási kiszolgáló konfigurálására.

Konfigurálja a hibrid Azure AD csatlakozást a Azure AD Connect használatával felügyelt tartományhoz:

  1. Indítsa el Azure AD csatlakozást, majd válassza a Konfigurálás lehetőséget.

  2. A További feladatok területen válassza az Eszközbeállítások konfigurálása lehetőséget, majd válassza a Tovább gombot.

  3. Az Áttekintés területen válassza a Tovább gombot.

  4. A Connect to Azure AD (Csatlakozás Azure AD) területen adja meg a Azure AD bérlő globális rendszergazdájának hitelesítő adatait.

  5. Az Eszközbeállítások területen válassza a Hibrid Azure AD csatlakoztatás konfigurálása lehetőséget, majd válassza a Tovább gombot.

  6. Az Eszköz operációs rendszerek területen válassza ki azOkat az operációs rendszereket, amelyeket az Active Directory-környezetben lévő eszközök használnak, majd válassza a Tovább gombot.

  7. Az SCP-konfigurációban minden olyan erdő esetében, ahol Azure AD Connectet szeretné konfigurálni az SCP konfigurálásához, hajtsa végre az alábbi lépéseket, majd válassza a Tovább gombot.

    1. Válassza ki az erdőt.
    2. Válasszon ki egy hitelesítési szolgáltatást.
    3. Válassza a Hozzáadás lehetőséget a vállalati rendszergazdai hitelesítő adatok megadásához.

    Azure AD SCP-konfigurációs felügyelt tartomány csatlakoztatása

  8. A Konfigurálásra kész területen válassza a Konfigurálás lehetőséget.

  9. A konfiguráció befejeződött, válassza a Kilépés lehetőséget.

Összevont tartományok

Az összevont környezeteknek rendelkezniük kell egy identitásszolgáltatóval, amely támogatja a következő követelményeket. Ha összevont környezettel rendelkezik Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával, akkor az alábbi követelmények már támogatottak.

  • WIAORMULTIAUTHN jogcím: Ez a jogcím szükséges a hibrid Azure AD windowsos alacsonyabb szintű eszközökhöz való csatlakoztatásához.
  • WS-Trust protokoll: Ez a protokoll szükséges a Windows jelenlegi hibrid Azure AD csatlakoztatott eszközeinek Azure AD való hitelesítéséhez. Az AD FS használatakor engedélyeznie kell a következő WS-Trust végpontokat:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Figyelmeztetés

Mind az adfs/services/trust/2005/windowstransport, mind az adfs/services/trust/13/windowstransport csak intranetes végpontként engedélyezhető, és NEM szabad külső végpontként elérhetővé tenni a webes alkalmazásproxy keresztül. Az WS-Trust Windows-végpontok letiltásáról további információt a Proxy WS-Trust Windows-végpontok letiltása című témakörben talál. Az AD FS felügyeleti konzolon a Szolgáltatásvégpontok> területen megtekintheti, hogy melyvégpontok vannak engedélyezve.

Konfigurálja a hibrid Azure AD csatlakozást a Azure AD Connect használatával összevont környezetben:

  1. Indítsa el Azure AD csatlakozást, majd válassza a Konfigurálás lehetőséget.

  2. A További feladatok lapon válassza az Eszközbeállítások konfigurálása lehetőséget, majd a Tovább gombot.

  3. Az Áttekintés lapon válassza a Tovább gombot.

  4. A Csatlakozás Azure AD lapon adja meg a Azure AD bérlő globális rendszergazdájának hitelesítő adatait, majd válassza a Tovább gombot.

  5. Az Eszközbeállítások lapon válassza a Hibrid Azure AD csatlakozás konfigurálása, majd a Tovább gombot.

  6. Az SCP oldalon hajtsa végre a következő lépéseket, majd válassza a Tovább gombot:

    1. Válassza ki az erdőt.
    2. Válassza ki a hitelesítési szolgáltatást. Az AD FS-kiszolgálót kell választania, kivéve, ha a szervezet kizárólag Windows 10 vagy újabb ügyfelekkel rendelkezik, és konfigurálta a számítógép/eszköz szinkronizálását, vagy ha a szervezet zökkenőmentes egyszeri bejelentkezést használ.
    3. Válassza a Hozzáadás lehetőséget a vállalati rendszergazdai hitelesítő adatok megadásához.

    Azure AD SCP-konfiguráció összevonási tartomány csatlakoztatása

  7. Az Eszköz operációs rendszerek lapon válassza ki azOkat az operációs rendszereket, amelyeket az Active Directory-környezetben lévő eszközök használnak, majd válassza a Tovább gombot.

  8. Az Összevonási konfiguráció lapon adja meg az AD FS-rendszergazda hitelesítő adatait, majd válassza a Tovább gombot.

  9. A Konfigurálásra kész lapon válassza a Konfigurálás lehetőséget.

  10. A Konfiguráció kész lapján válassza a Kilépés lehetőséget.

Összevonási kikötések

Az 1803-Windows 10 vagy újabb verzió esetén, ha az AD FS-t használó összevont környezet azonnali hibrid Azure AD csatlakoztatása meghiúsul, akkor a Azure AD Connect segítségével szinkronizáljuk a számítógép-objektumot Azure AD, amely ezután a hibrid Azure AD csatlakoztatás eszközregisztrációjának befejezéséhez használatos.

Egyéb forgatókönyvek

A szervezetek a teljes bevezetés előtt tesztelhetik a hibrid Azure AD csatlakozást a környezetük egy részhalmazán. A célzott üzembe helyezés végrehajtásának lépéseit a Hibrid Azure AD csatlakozás célzott üzembe helyezés című cikkben találja. A szervezeteknek ebben a próbacsoportban különböző szerepkörökből és profilokból kell mintát vennie a felhasználókból. A célzott bevezetés segít azonosítani azokat a problémákat, amelyekkel a terv nem foglalkozik, mielőtt engedélyezené a teljes szervezet számára.

Előfordulhat, hogy egyes szervezetek nem tudják használni a Azure AD Connectet az AD FS konfigurálásához. A jogcímek manuális konfigurálásához szükséges lépéseket a hibrid Azure Active Directory-csatlakozás manuális konfigurálása című cikkben találja.

Kormányzati felhő

Az Azure Government-ban lévő szervezetek esetében a hibrid Azure AD-csatlakozáshoz az eszközöknek a következő Microsoft-erőforrásokhoz kell hozzáférniük a szervezet hálózatán belülről:

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (Ha közvetlen egyszeri bejelentkezést használ vagy tervez használni)

A hibrid Azure AD csatlakoztatásának hibaelhárítása

Ha problémákat tapasztal a tartományhoz csatlakoztatott Windows-eszközök hibrid Azure AD csatlakozásával kapcsolatban, tekintse meg a következő témaköröket:

Következő lépések